MTik.pro новости

2021-12-01 17:47:21 Для CCR-2116-12G-4S+ уже доступна брошюра на официальном сайте.

Заявляется прирост производительности:
— более чем 2х кратный при маршрутизации,
— 6-ти кратный при обработке BGP
в сравнении с CCR1036. Открыть/Комментировать

2021-11-26 06:59:01 Ожидаем официальный анонс 16-ти ядерного роутера CCR второй серии (на ARM архитектуре).

CCR-2116-12G-4S+



Открыть/Комментировать

2021-09-28 15:16:47 Оказалось, что для Legacy пользователей не доступен сайт mikrotik.com.

Пользователи, с dual-stack (подключение по IPv4 и по IPv6) не заметили проблему, так как браузер автоматически подключается по протоколу, который доступен.

Не стесняйтесь просить у вашего оператора #IPv6! Открыть/Комментировать

2021-09-15 10:06:02 Если вы имеете опыт работы с оборудованием MikroTik для исключения использования устройства злоумышленником рекомендуем проверить следующее:
) Сервис SOCKs-прокси выключен (если вы не используете его осознанно).
/ip socks set enabled=no
) В планировщике отсутствуют подозрительные (не знакомые вам) задания.
Если вы не используете планировщик, выключите все скрипты:
/system scheduler disable [find]
) Выключите неиспользуемые сервисы управления устройством (как правило, FTP, TELNET и API используются редко):
/ip service
disable telnet
disable ftp
disable api
disable api-ssl
) Отсутствуют "чужие" (не знакомые вам) учётные записи.
Выключите или ограничьте "лишние" учётные записи.
/user
print
disable homyak
set cow group=read
Не рекомендуется использовать в качестве username стандартные названия (admin, root, support, ...).
) Проверьте кто, откуда и как заходил на ваше устройство:
/log print where topics~"account"
При наличии подозрительных входом (или просто в профилактических целях) — смените пароли.
Помните, что через SSH также можно авторизоваться ключом, проверьте наличие неизвестных ключей:
/user ssh-keys print
) Проверьте отсутствие NAT правил, перенаправляющий трафик на внешние ресурсы.
Например, мы встречали на устройствах с учётной записью admin без пароля такие правила, появляющиеся без нашего участия:
/ip firewall nat
add action=dst-nat chain=dstnat comment=bitcoin dst-address-list=bitcoin dst-port=!80,23,8291,64444,8080 protocol=tcp to-addresses=103.145.13.30 to-ports=3333
) Проверьте отсутствие VPN-туннелей, которые вы не настраивали.
Если вы не подключаетесь к вашему роутеру по VPN, убедитесь, что все VPN-сервисы выключены:
/interface
l2tp-server server set enabled=no
pptp-server server set enabled=no
sstp-server server set enabled=no
ovpn-server server set enabled=no
Если вы не подключаетесь с вашего роутера к VPN, убедитесь, что роутер не устанавливает VPN подключения:
/interface
l2tp-client print
ovpn-client print
pptp-client print
sstp-client print
) Проверьте настройки Firewall.
Разрешать доступ к портам управления роутера со внешних сетей, даже если порт управления изменён — плохая практика Открыть/Комментировать

2021-09-15 10:02:02 Рекомендуется проверить, что ваше устройство не используется кем-то ещё.

Если вы плохо знакомы с MikroTik RouterOS, достаточно:
) Сохранить конфигурацию:
/system backup save
/export file=my-router-export.rsc
Обязательно скачать файлы с роутера на компьютер!
) Обновить версию RouterOS до последней Stable (6.48.4) или Long-term (6.47.10)
/system package update
set channel=long-term
check-for-updates
install
) Сбросить устройство
/system reset-configuration
) Настроить устройство заново, можно использовать приложение для смартфона или QuickSet. Открыть/Комментировать

2021-09-15 09:12:33 Официальная новость на сайте MikroTik о ботнете Mēris
https://blog.mikrotik.com/security/meris-botnet.html Открыть/Комментировать

2021-09-15 06:33:13 В начале сентября была зафиксирована крупнейшая DDoS атакак на уровне L7.
Информация от Яндекс и Qrator Labs.

Пишут про новый ботнет Mēris (по-латышски «чума»).

Исследователи из Яндекс и Qrator Labs считают, что ботнет состоит, в основном, из устройств на ОС RouterOS, при это версии RouterOS различные, вплоть до последних стабильных версий.

Предполагается наличие новой уязвимости.
——
По информации от MikroTik уязвимость, которую можно использовать "для захвата" роутера исправили ещё в 2018 году.

Вероятно, атакующие устройства были "захвачены" ещё до устранения уязвимости.
Новые версии RouterOS могут говорить о том, что злоумышленники обновляют "захваченные" устройства, для исключения "захвата" конкурентами.

Какого-либо подтверждения наличия уязвимости в актуальных версиях RouterOS нет. Открыть/Комментировать

2021-09-10 08:01:01 Список значительных изменений в #RouterOS 7.1 по сравнению с версией 6

Ядро Linux обновлено c версии 3.3.5 до 4.14.131 5.6.3
Новый стиль команд CLI
Поддержка новых типов очередей (Queue) Cake, FQ_Codel

Пакеты:
-- отказ от разделения на отдельные пакеты
-- в отдельные пакеты вынесен только дополнительный функционал
-- IPv6 всегда доступен и не требует дополнительного включения пакета
-- новый NTP клиент/сервер, который включён в основной пакет
-- пакет с новым User Manager
-- новый пакет iot с реализацией протокола MQTT (только для устройства KNOT)
-- новый пакет wifiwave2 для некоторых ARM устройств

VPN:
-- транспорт UDP для OpenVPN
-- WireGuard
-- L2TP v3

Routing/MPLS/etc:
-- многоядерная обработка BGP
-- VXLAN
-- RPKI
-- policy routing для IPv6
-- возможность использования IPv6 nexthop для IPv4 маршрутов

HW:
-- улучшена поддержка сетевых карт Intel/Mellanox и других
-- L3 HW offloading для некоторых CRS3xx (только IPv4, но с поддержкой bridge, LACP, VLAN интерфейсов)
-- L3 HW offloading с NAT для некоторых CRS3xx
-- SR-IOV для CHR
-- bridge vlan filtering на switch chip'ах Realtek

WiFi:
-- WPA3
-- 802.11 ac Wave 2 на некоторых ARM устройствах

Другое:
-- исключена поддержка blowfish-cbc для SSH
-- репликация данных connection tracking по VRRP (master to backup)
-- генерация сертификатов с помощью Let's Encrypt
-- MLAG на CRS3xx
-- NAT для IPv6
-- запуск Docker контейнеров
-- ZeroTier для ARM/ARM64 Открыть/Комментировать

2021-09-08 15:45:41 Давно в RouterOS (примерно с версии 4) появился функционал MetaRouter, позволяющий запускать (по-сути) виртуальную машину на роутере.
Этот функционал позволял добавить функционал, недоступный на роутере, например, можно было запустить образ openWRT для реализации DNSCrypt, хотя чаще в metaRouter запускали сервер Asterisk

Но этот функционал имел несколько значительных ограничений:
* требуется место на внутреннем накопителе для хранения образов
* поддерживаются только некоторые архитектуры CPU
* поддерживаются только одноядерные CPU

IMHO в версии RouterOS 6 MetaRouter практически не развивался.

——
За длительное время жизни этого функционала появились новые популярные решения и технологии.

Например, Docker.

Инженеры MikroTik решили реализовать возможность запуска Docker контейнеров на RouterOS.
И этот функционал уже поддерживается с версии RouterOS 7.1rc3.

Полной документации пока нет, но можно попробовать по инструкции на форуме.

UPD: Документация уже публикуется. Открыть/Комментировать

2021-09-08 15:30:23 За последние 4 недели вышло несколько Release Candidate (RC) версий #RouterOS версии 7.1 (ветка Development).

Это первые релиз кандидаты (RC), до этого публиковались только Бэта-версии.

RouterOS 7.1rc1 (2021-Aug-19):
) добавлена поддержка NAT для IPv6 (только в CLI);
) добавлена поддержка L2TPv3 (только в CLI);
) добавлена поддержка bridge HW offload для vlan-filtering на switch чипах RTL8367 (модели RB4011, RB1100AHx4);
) добавлены настройки требований сложности для паролей;
) исправлена поддержка RIP (Routing Information Protocol);
) добавлена поддержка скинов для WinBox (требуется WinBox v3.29);
) добавлен статус пользователя "expired" с предложением изменить пароль (требуется WinBox v3.29);
) общие улучшения стабильности и производительности;
) другие изменения и улучшения.

RouterOS 7.1rc2 (2021-Aug-31):
) добавлен флаг "failure" для VRRP;
) исправлена поддержка IGMP-Proxy;
) исправлена поддержка NV2;
) исправлена работа virtual AP при использовании пакета wifwave2 на устройствах с заблокированным выбором страны (country locks);
) улучшения конфигурации фильтров (routing filter);
) улучшена стабильность системы при использовании новых типов очередей (queues): CAKE и fq_codel;
) другие изменения и улучшения.


RouterOS 7.1rc3 (2021-Sep-08):
) добавлена поддержка аппаратного ускорения IPSec для RB5009;
) добавлена поддержка запуска Docker (TM) контейнеров;
) добавлена поддержка ZeroTier (TM) для ARM и ARM64;
) исправления соединений по L2TP (introduced in v7.1rc2);
) исправления в работе LDPv6;
) улучшения производительности и стабильности L2TPv3;
) улучшения производительности и стабильности VPLS;
) другие изменения и улучшения. Открыть/Комментировать